Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

magic_quotes

Voldemort - 23/07/2005 10:54 (laatste wijziging 23/07/2005 10:59)

PHP ver gevorderde

Ik heb een aanmeldscript dat checkt of de magic_quotes aanstaat, als dat niet zo is, dan addslashes, anders niet. Maar als ik nu toch een " of ' invul dan zet ie in de DB niet \"\' maar gewoon " '. Zonder " of ' werkt ie wel.

php code - Bekijk de code zonder highlighting - Klap code in

if(!get_magic_quotes_gpc())
				{
				//Maak de gegevens op
				$gebruikersnaam = $_POST['gebruikersnaam'];
				$tr_gebruikersnaam = trim($gebruikersnaam);
				$as_gebruikersnaam = addslashes($tr_gebruikersnaam);
				$str_gebruikersnaam = strip_tags($as_gebruikersnaam);
				$wachtwoord1 = $_POST['wachtwoord1'];
				$tr_wachtwoord1 = trim($wachtwoord1);
				$as_wachtwoord1 = addslashes($tr_wachtwoord1);
				$str_wachtwoord1 = strip_tags($as_wachtwoord1);
				$md5_wachtwoord1 = md5($str_wachtwoord1);
				$wachtwoord2 = $_POST['wachtwoord2'];
				$tr_wachtwoord2 = trim($wachtwoord2);
				$as_wachtwoord2 = addslashes($tr_wachtwoord2);
				$str_wachtwoord2 = strip_tags($as_wachtwoord2);
				$md5_wachtwoord2 = md5($str_wachtwoord2);
				$mailadres = $_POST['mailadres'];
				$tr_mailadres = trim($mailadres);
				$as_mailadres = addslashes($tr_mailadres);
				$str_mailadres = strip_tags($as_mailadres);
				}
			else
				{
				//Maak de gegevens op
				$gebruikersnaam = $_POST['gebruikersnaam'];
				$tr_gebruikersnaam = trim($gebruikersnaam);
				$str_gebruikersnaam = strip_tags($tr_gebruikersnaam);
				$wachtwoord1 = $_POST['wachtwoord1'];
				$tr_wachtwoord1 = trim($wachtwoord1);
				$str_wachtwoord1 = strip_tags($tr_wachtwoord1);
				$md5_wachtwoord1 = md5($str_wachtwoord1);
				$wachtwoord2 = $_POST['wachtwoord2'];
				$tr_wachtwoord2 = trim($wachtwoord2);
				$str_wachtwoord2 = strip_tags($tr_wachtwoord2);
				$md5_wachtwoord2 = md5($str_wachtwoord2);
				$mailadres = $_POST['mailadres'];
				$tr_mailadres = trim($mailadres);
				$str_mailadres = strip_tags($tr_mailadres);
				}

if(!get_magic_quotes_gpc())
				{
				//Maak de gegevens op
				$gebruikersnaam = $_POST['gebruikersnaam'];
				$tr_gebruikersnaam = trim($gebruikersnaam);
				$as_gebruikersnaam = addslashes($tr_gebruikersnaam);
				$str_gebruikersnaam = strip_tags($as_gebruikersnaam);
				$wachtwoord1 = $_POST['wachtwoord1'];
				$tr_wachtwoord1 = trim($wachtwoord1);
				$as_wachtwoord1 = addslashes($tr_wachtwoord1);
				$str_wachtwoord1 = strip_tags($as_wachtwoord1);
				$md5_wachtwoord1 = md5($str_wachtwoord1);
				$wachtwoord2 = $_POST['wachtwoord2'];
				$tr_wachtwoord2 = trim($wachtwoord2);
				$as_wachtwoord2 = addslashes($tr_wachtwoord2);
				$str_wachtwoord2 = strip_tags($as_wachtwoord2);
				$md5_wachtwoord2 = md5($str_wachtwoord2);
				$mailadres = $_POST['mailadres'];
				$tr_mailadres = trim($mailadres);
				$as_mailadres = addslashes($tr_mailadres);
				$str_mailadres = strip_tags($as_mailadres);
				}
			else
				{
				//Maak de gegevens op
				$gebruikersnaam = $_POST['gebruikersnaam'];
				$tr_gebruikersnaam = trim($gebruikersnaam);
				$str_gebruikersnaam = strip_tags($tr_gebruikersnaam);
				$wachtwoord1 = $_POST['wachtwoord1'];
				$tr_wachtwoord1 = trim($wachtwoord1);
				$str_wachtwoord1 = strip_tags($tr_wachtwoord1);
				$md5_wachtwoord1 = md5($str_wachtwoord1);
				$wachtwoord2 = $_POST['wachtwoord2'];
				$tr_wachtwoord2 = trim($wachtwoord2);
				$str_wachtwoord2 = strip_tags($tr_wachtwoord2);
				$md5_wachtwoord2 = md5($str_wachtwoord2);
				$mailadres = $_POST['mailadres'];
				$tr_mailadres = trim($mailadres);
				$str_mailadres = strip_tags($tr_mailadres);
				}

PS: Op de server staat magic_quotes aan, maar als ik dan van host zou veranderen, en daar staat het uit, dan moet ik superveel scripts veranderen.

12 antwoorden

Gesponsorde links

Thomas - 23/07/2005 11:17
Moderator		Het escapen van (dubbele) quotes is juist bedoeld voor het correct inserten van gegevens volgens mij. Als je gegevens uitleest uit je database kun je hier altijd nog addslashes(), of, misschien beter, htmlentities(), over heen halen. Je zou je natuurlijk ook kunnen afvragen of je zulk soort karakters in de eerste plaats wilt toestaan... Als je dit soort karakters gewoon verbiedt, heb je de bovenstaande problemen ook niet eh ?

Voldemort - 23/07/2005 11:29 (laatste wijziging 23/07/2005 12:31)
PHP ver gevorderde		Wat doet htmlentities() eigenlijk (die uitleg van php.net is altijd zo ingewikkeld)? Bestaan er mailadressen met een " of ' in? Waarom doet dit het niet: php code - Bekijk de code zonder highlighting - Klap code in if(!empty($str_wachtwoord1) && (ereg("\"", $str_wachtwoord1) \|\| ereg("\'", $str_wachtwoord1)) \|\| !empty($str_wachtwoord2) && (ereg("\"", $str_wachtwoord2) \|\| ereg("\'", $str_wachtwoord2)) \|\| ereg("\"", $str_wachtwoordh) \|\| ereg("\'", $str_wachtwoordh)) if(!empty($str_wachtwoord1) && (ereg("\"", $str_wachtwoord1) \|\| ereg("\'", $str_wachtwoord1)) \|\| !empty($str_wachtwoord2) && (ereg("\"", $str_wachtwoord2) \|\| ereg("\'", $str_wachtwoord2)) \|\| ereg("\"", $str_wachtwoordh) \|\| ereg("\'", $str_wachtwoordh)) Als ik in m'n $str_wachtwoordh een " zet, dan geeft ie meteen weer dat m'n huidige wachtwoord niet met m'n ingevulde klopt (en ik voer deze controle voor de controle die de wachtwoorden vergelijkt)

Ontani - 23/07/2005 12:32
-1		htmlentities zet html tags om in special chars < word < > word > enz...

Voldemort - 23/07/2005 12:33
PHP ver gevorderde		Dat doet htmlspecialchars toch ook? Dan zijn die 2 toch gelijk?

Ontani - 23/07/2005 12:37 (laatste wijziging 23/07/2005 12:37)

-1

ja ongeveer:

php code - Bekijk de code zonder highlighting - Klap code in

<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt;
?>

<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt;
?>

vervangt alles ook ",& en '

php code - Bekijk de code zonder highlighting - Klap code in

<?php
$str = "A 'quote' is <b>bold</b>";

// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);

// Outputs: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>

<?php
$str = "A 'quote' is <b>bold</b>";
 
// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);
 
// Outputs: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>

2e voorbeeld vervangt ook nog je quotes omdat je de extra var ENT_QUOTES meegeeft.

Voldemort - 23/07/2005 16:40
PHP ver gevorderde		Nu werkt het, alleen is er een klein probleem. Bij het aanmelden, dan wordt er een mail gestuurd met je gebruikersnaam en wachtwoord. Ik haal de gebruikersnaam uit de DB en het wachtwoord uit het formulier (omdat het anders MD5 is). Alleen nu krijg ik in m'n wachtwoord ipv " ' "' Hoe komt dat? Hoe kan ik dat vermijden?

Rens - 23/07/2005 16:43
Crew algemeen		Zorgen dat je HTML word geaccepteerd in de email. http://www.site...44#headers De eerste 2 headers, mime-version en Content-type, die moet je erbij zetten. Dan word "' weergeven als " '

Voldemort - 23/07/2005 16:56
PHP ver gevorderde		Ok, nu werkt het. Even over XSS en MySQL injection, ik las een artikel waar men zegt, addslashes gebruiken, maar nu hoef ik nergens addslashes te gebruiken als ik htmlentities. Die doet men ' en " toch naar andere tekens? Ben ik hierdoor genoeg beveiligd?

Rens - 23/07/2005 17:01
Crew algemeen		" kun je gerust in je database zetten. Het is namelijk een HTML code voor ". Dus je leid hier geen gevaar mee (dacht ik zo). Je kunt het natuurlijk altijd zelf uittesten op je tabel, beter dat jij het uittest als dat iemand anders het gebruikt en het blijkt niet zo veilig te zijn als we denken...

Voldemort - 23/07/2005 17:05
PHP ver gevorderde		Hoe kan ik nu testen als ik niet kan hacken, maar je zegt dat het veilig is htmlentities, dus addslashes zal niet meer nodig zijn? Of toch wel nog?

Rens - 23/07/2005 17:07
Crew algemeen		Het lijkt mij veilig zo, met ". Maar dan wel met ENT_QUOTES erbij. Dat doet eigenlijk hetzelfde als addslashes(htmlentities($waarde));

Voldemort - 23/07/2005 17:09
PHP ver gevorderde		Ok, ik ben blij dat ik nu van die slashes (en ook addslashes en stripslashes) af ben, dat is soms zo verwarrend, en dan die instelling van magic_quotes_gpc. Die is veel handiger. Ze zouden addslashes en stripslashes moeten afschaffen .

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten